È necessario che tutti i certificati SSL per un dominio siano attendibili?

1

Ho letto che è possibile avere più certificati su un dominio. La mia domanda è se tutti questi certificati debbano essere considerati attendibili e validi o se un certificato attendibile valido è sufficiente per consentire ai browser di fidarsi di esso.

Il contesto è che ho un server di chat WebSocket che fornisce un certificato attendibile da Let's Encrypt attraverso un proxy. Tuttavia, questo server fornisce anche un certificato gestito internamente per identificare la parte di una rete affidabile. Questo secondo certificato non ha senso nei confronti dei browser, ma è necessario per connettere altri server di chat per creare una rete perché tutti si fidano della rete radice ca e non si affidano invece ai nomi di dominio ma alle identità.

Quindi, in sostanza, i browser accetterebbero il server poiché il certificato Let's Encrypt è valido, anche se il secondo certificato non è affidabile (poiché root ca non fa parte dell'archivio di fiducia standard).

    
posta dsonck92 13.04.2018 - 14:35
fonte

1 risposta

1

Solo un singolo certificato del sito viene trasferito durante un handshake TLS (ad esempio durante l'installazione della connessione HTTPS). Questo certificato deve essere affidabile dal browser, vale a dire essere valido, non scaduto, firmato da una CA attendibile e abbinare il dominio dall'URL. Per questa specifica connessione e client non importa quale tipo di certificati lo stesso server potrebbe fornire ad altri client.

Gli altri clienti avranno probabilmente requisiti simili (almeno dovrebbero). Ma potrebbero avere un diverso set di CA attendibile in modo che possano accettare un certificato emesso da una CA interna poiché si fida di questa CA interna. Oppure potrebbero fidarsi di un certificato autofirmato specifico.

    
risposta data 13.04.2018 - 14:51
fonte

Leggi altre domande sui tag